Local derogation al GDPR, ecco come è applicata nella UE

In data 6 gennaio 2021, la Commissione UE ha pubblicato un documento, intitolato “Report on the implementation of specific provisions of the General Data Protection Regulation”, volto a illustrare e a presentare, in modo chiaro, l’attuazione, a opera degli Stati membri dell’UE^[1], delle specifiche clausole di “local derogation” previste dal Regolamento UE n. 2016/679 (GDPR) agli artt. 8 paragrafo 2), 9 paragrafo 4), 23 paragrafo 1) lettere c) ed e), 85 paragrafi 1) e 2) e 89 paragrafi 2), 3) e 4).

Ancor prima di addentrarsi nell’analisi puntuale della tematica in oggetto, occorre, tuttavia, premettere che essa si focalizzerà unicamente nell’illustrazione dell’attività legislativa nazionale posta in essere dalla Germania, Spagna, Francia, Irlanda e naturalmente dall’Italia^[2], paesi europei che – ad avviso di chi scrive – rappresentano, ad oggi, quelli maggiormente rilevanti sul tema della data protection, in ragione della consueta portata innovativa dei propri orientamenti (anche legislativi) nonché in virtù del crescente ruolo che uno di essi, ossia l’Irlanda, possederà verosimilmente nel prossimo futuro per ovvie motivazioni commerciali ed economiche^[3].

Local derogation: attuazione del GDPR

Art. 8 paragrafo 2)

Com’è noto, l’art. 8 paragrafo 1) del GDPR^[4] prescrive, in sostanza, che un soggetto minore debba aver compiuto almeno i 16 anni d’età affinché il suo consenso sia valido per il trattamento dei suoi dati personali in relazione ai servizi della società dell’informazione (la cui definizione si può rinvenire, a livello locale, all’interno dell’art. 2 comma 1 lettera a) del D.Lgs. n. 70 del 9.4.2003); nel caso in cui tale soggetto abbia un’età inferiore a quella anzi detta, il trattamento è da considerarsi lecito solo nella misura in cui il titolare della relativa responsabilità genitoriale (o soggetto comunque ad esso assimilabile) abbia fornito il relativo consenso o l’abbia autorizzato.

Quanto appena prescritto può subire, tuttavia, una deroga, dato che, ai sensi del paragrafo 2) del medesimo articolo, ciascuno Stato membro dell’UE possiede la facoltà di ridurre tale limite di età, ma non al di sotto della soglia degli anni 13.

Fatta questa necessaria premessa, si rileva che la Germania e l’Irlanda hanno deciso di non avvalersi dell’opzione fornita dal GDPR (e, dunque, l’età è di anni 16), a differenza della Francia (la quale ha optato per un’età leggermente inferiore, pari a 15 anni) e, infine, dell’Italia^[5] che, assieme alla Spagna, ha attestato la soglia anagrafica agli anni 14.

Art. 9 paragrafo 4)

L’art. 9 paragrafo 4) del GDPR (da leggersi, in combinato disposto, con il relativo Considerando n. 10)^[6]) consente a ciascuno Stato membro dell’UE di mantenere o introdurre condizioni, ivi incluse eventuali limitazioni, in relazione al trattamento di dati genetici, dati biometrici e dati relativi alla salute ex art. 9 paragrafo 1) e Considerando n. 35) del GDPR.

In relazione alla tipologia di dati personali presi in considerazione dalle singole legislazioni nazionali, si rileva, in prima battuta, che la Germania, la Francia e l’Irlanda hanno emanato discipline normative concernenti qualsivoglia (micro) categoria di dato personale esplicitata all’art. 9 paragrafo 4) del GDPR, contrariamente a quanto è stato effettuato, invece, dalla Spagna, la quale ha regolamentato soltanto condizioni (e/o limitazioni) al trattamento dei dati genetici e dei dati relativi alla salute (con esclusione, quindi, di quelli biometrici) ovvero, da ultimo, dall’Italia che, all’interno dell’art. 2 septies del novellato D.Lgs. n. 196/2003 (Codice Privacy), ha previsto che le relative misure di garanzie da applicarsi devono essere disposte da uno specifico provvedimento, con cadenza biennale, a firma del competente Garante Privacy, a oggi tuttavia non ancora emanato.

Senza aver pretesa di illustrare, in modo esauriente, quanto è stato disposto all’interno dei paesi europei oggetto d’esame, si ritiene opportuno osservare, di seguito, quanto di rilievo (pratico) è stato disposto da ogni singolo Stato euro unitario.

In Germania, i datori di lavoro possono, in via generale, trattare i dati biometrici relativi al proprio personale dipendente ai fini dell’autenticazione (a condizione che ciò sia indicato all’interno del relativo contratto di lavoro) ovvero laddove sussista un’urgente necessità; per altro verso, questi soggetti possiedono, altresì, la facoltà di utilizzare i dati personali relativi ai test medici e/o psicologici effettuati per determinare l’idoneità lavorativa di un soggetto, laddove ciò sia necessario per l’esecuzione del relativo rapporto contrattuale: tuttavia, il datore di lavoro è potenzialmente tenuto a conoscere soltanto il risultato del test di ammissibilità (e gli eventuali relativi fattori di rischio), a esclusione, quindi, della connessa documentazione, a meno che sussista un bisogno funzionale urgente.

In Francia, l’art. 8 paragrafo 1) punto 2) lettera c) della “Loi informatique, fichiers et libertés” (LIL) afferma che l’Authority nazionale ha il potere di stabilire norme standard tese a garantire la sicurezza dei sistemi di trattamento dei dati personali, e per regolamentare quelli relativi ai dati biometrici, genetici e sanitari: nello specifico, è stato, ad esempio, prescritto che il trattamento dei dati sanitari per finalità di ricerca (studio o valutazione) è consentito soltanto per la ricerca pubblica, con esclusione, dunque, di quella di natura privatistica.

In Irlanda, è stato vietato, invece, il trattamento dei dati genetici in relazione al rapporto di lavoro, a un rapporto assicurativo (di varia natura, ivi incluso quello sanitario e/o sulla vita), nonché con riferimento ad un rapporto civilistico concernente la proprietà privata (es. ipoteca).

Infine, la Spagna ha previsto, ad esempio, che l’accesso alla cronistoria medica per il perseguimento di finalità giudiziarie, epidemiologiche, di salute pubblica, di ricerca o di insegnamento deve preservare (e tutelare) le informazioni sull’identità del paziente, separando, a tal uopo, questi dati personali da quelli concernenti l’assistenza sanitaria, a meno che l’interessato non abbia fornito il proprio consenso a non effettuare tale distinzione.

Art. 23 paragrafo 1) lettere c) ed e)

Ai sensi dell’art. 23 paragrafo 1) lettere c) ed e) del GDPR^[7] (da leggersi assieme al successivo paragrafo 2), la legislazione comunitaria ovvero nazionale possiede la facoltà di limitare la portata degli obblighi (e diritti) previsti dagli artt. 5, da 12 a 22 e 34 del GDPR, laddove tali restrizioni rispettino i diritti e libertà (fondamentali) dell’individuo e, in particolar modo, siano finalizzate, in via necessaria e proporzionale, a salvaguardare la sicurezza pubblica ovvero altri importanti interessi di ordine pubblico previsti a livello europeo o nazionale.

Orbene, con specifico riferimento alla finalità di “sicurezza pubblica” di cui alla lettera c) dell’art. 23 paragrafo 1) del GDPR, si osserva, in via generale, come la Germania, Spagna, Francia ed Irlanda abbiano individuato delle restrizioni all’applicazione di alcune specifiche disposizioni del GDPR^[8] ai fini dell’esecuzione di attività di intelligence (pubblica), di polizia, giudiziaria ovvero quella eseguibile da agenti del servizio pubblico; viceversa, l’Italia ha previsto, all’interno dell’art. 2 undecies del Codice Privacy, che le limitazioni agli articoli da 15 a 22 del GDPR possano legittimamente sussistere, inter alia, per il perseguimento del reato di riciclaggio di denaro, per la tutela delle vittime del racket, per l’esercizio di un diritto in sede giudiziaria ovvero, infine, per la necessità di tutelare l’identità di un dipendente che presenta una denuncia nell’ambito di un rapporto di lavoro.

Da ultimo, in relazione alle finalità indicate alla lettera e) della norma in questione si rileva che ogni paese europeo oggetto della presente analisi riassuntiva ha previsto, all’interno della propria legislazione (in alcuni casi, soltanto in via potenziale: es. Spagna e Francia), una limitazione per finalità di pubblica amministrazione o comunque per il perseguimento di compiti di natura pubblica (es. salute; fisco) ovvero per ragioni di migrazione, scopo, tuttavia, applicato, invero, soltanto da alcuni dei paesi in esame (ossia: Francia; Irlanda, ma solo in un’ottica futura).

Art. 85 paragrafi 1) e 2)

Le disposizioni in esame^[9] impongono agli Stati membri di conciliare – anche grazie alla possibilità di prevedere deroghe ovvero esenzioni ad una parte sostanziale del GDPR (capi II, III, IV, V, VI, VII e IX) – la normativa sulla protezione dei dati personali con il diritto alla libertà di espressione e di informazione, con particolar riguardo alla finalità giornalistica, di espressione accademica, artistica o, infine, letteraria.

In proposito, si osserva, dunque, come qualsivoglia paese oggetto d’analisi abbia provveduto – anche mediante l’implementazione di apposite deroghe al GDPR^[10] – a conciliare il diritto fondamentale alla protezione dei dati personali e il diritto alla libertà di espressione e di informazione all’interno della propria specifica normativa (territoriale) sulla data protection (anche di soft law, in taluni casi, come quello italiano^[11]), fatta eccezione per la Francia, dato che essa ha regolamentato tale bilanciamento di diritti mediante l’interconnessione tra una serie di disposizioni normative (es. codice civile; codice penale; legge sulla libertà di stampa), e, da ultimo, con esclusione della Germania, ove alcune delle leggi vigenti in materia (es. KUG) sono idonee ad adeguare, a livello nazionale, sul punto il GDPR.

Art. 89 paragrafi 2), 3) e 4)

L’articolo de quo offre agli Stati membri la possibilità di derogare a determinati diritti dei soggetti interessati (ossia, quelli previsti agli artt. 15, 16, 18, 19, 20 e 21 del GDPR) qualora i dati personali vengano trattati per finalità di ricerca scientifica, storica, statistica ovvero per l’archiviazione nel pubblico interesse, a condizione che vengano rispettate apposite condizioni e garanzie ivi descritte.

Senza voler descrivere, in modo esauriente, quanto è stato disposto all’interno dei paesi europei oggetto d’esame, si ritiene opportuno osservare, di seguito, quanto di rilievo (pratico) ha implementato ogni singolo Stato qui analizzato.

In Germania (a livello federale), l’art. 27 paragrafo 2) della Legge federale sulla protezione dei dati (BDSG) acconsente delle deroghe laddove l’esercizio di tali diritti rende impossibile ovvero pregiudica gravemente il raggiungimento dello scopo di ricerca; in aggiunta, il paragrafo 4) della medesima disposizione normativa stabilisce, altresì, che i dati personali possono essere oggetto di pubblicazione soltanto nel caso in cui l’interessato abbia fornito il proprio consenso ovvero se essi sono, invero, indispensabili per la presentazione dei risultati di ricerca.

Infine, l’art. 28 commi 2 e 4 del BDSG esclude, da un lato, l’applicazione dell’art. 15 del GDPR se il materiale di archiviazione non consente al Titolare del trattamento di identificare con uno sforzo ragionevole la persona interessata, e, per altro verso, prevede che gli artt. 18, 20 e 21 del GDPR non possono applicarsi laddove essi rendono probabilmente impossibile o comunque possono pregiudicare gravemente il raggiungimento dello scopo di archiviazione di interesse pubblico.

In Francia e in Irlanda sono previste delle deroghe soltanto laddove l’eventuale esercizio dei diritti in questione può rendere impossibile o comunque ostacolare, in modo significativo, il raggiungimento delle finalità di ricerca storica o scientifica ovvero per motivi di archiviazione nel pubblico interesse.

In Italia è permesso, inter alia^[12], che i soggetti pubblichi comunichino e diffondano, anche a soggetti privati e per via telematica, i dati personali (fatta eccezione per quelli ex artt. 9 e 10 del GDPR) relativi ad attività di studio (ivi inclusi quelli riguardanti, ad esempio, i laureati e docenti) (cfr. art. 100 del Codice Privacy).

Da ultimo, la normativa spagnola acconsente deroghe in relazione all’attività di ricerca sanitaria (con specifico focus a quella di natura biometrica), mentre non ne ha, all’opposto, previste con riguardo all’archiviazione per pubblico interesse.

Conclusioni

Si conclude osservando che, sebbene si siano registrate alcune tendenze comuni, il quadro che emerge attesta, come prevedibile, non solo i diversi approcci legali adottati dagli Stati in esame, ma anche il diverso grado di specificazione delle disposizioni pertinenti del GDPR.

Note

1. Fatta eccezione del Regno Unito, a causa della nota vicenda che lo ha portato a lasciare l’UE il 31.1.2020, il cui iter (di transizione) si è formalmente concluso il 31.12.2020, previo raggiungimento di un apposito negoziato sottoscritto tra l’UE ed il Regno Unito medesimo. ↑
2. Per quanto riguarda la data di entrata in vigore delle misure legislative di esecuzione, si precisa quanto segue: la Germania e l’Irlanda hanno dato attuazione alle citate clausole del GDPR entro il 25.5.2018; la normativa di attuazione francese è entrata in vigore il 20.6.2018, ma con effetto retroattivo dal 25.5.2018; quella italiana è entrata in vigore il 19.9.2018 e, infine, quella spagnola il 7.12.2018. ↑
3. In merito, giova precisare che tale selezione non ha tenuto in considerazione la classifica – pubblicata, di recente, dall’Osservatorio di Federprivacy (documento intitolato “Rapporto statistico 2020, sanzioni privacy in Europa”) – avente ad oggetto il numero (ed ammontare) complessivo di provvedimenti emanati, nel corso dell’anno 2020, da ciascuna Autorità di Controllo: all’interno di tale report è emerso, peraltro, che 133 dei 341 provvedimenti complessivi sono stati irrogati dal Garante Privacy spagnolo (a seguire l’Italia con 35 provvedimenti amministrativi, e poi l’Authority rumena (ANSPDCP) con 26 pronunzie), anche se l’Autorità maggiormente severa è stata quella francese (CNIL) con euro 138,3 milioni concentrati in soli 8 procedimenti (a seguire sempre l’Italia con euro 58,1 milioni, il Regno Unito con 45 milioni e, appena fuori dal podio, la Germania con euro 37,3 milioni). ↑
4. Art. 8 del GDPR: “Qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni”. ↑
5. Cfr. art. 2 quinquies del novellato D.Lgs. n. 196/2003: “In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’art. 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale. In relazione all’offerta diretta ai minori dei servizi di cui al comma 1, il titolare del trattamento redige con un linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi”. ↑
6. Considerando n. 10) del GDPR: “…Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali (“dati sensibili”). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito”. ↑
7. Art. 23 paragrafo 1) lettere c) ed e) del GDPR: “Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare: […] la sicurezza pubblica; […] altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolar un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale”. ↑
8. In Germania, a livello federale le limitazioni hanno interessato gli artt. 13 paragrafo 3), 14 e 15 del GDPR, mentre a livello regionale gli artt. da 13 a 15 e 34 del GDPR; in Spagna, le limitazioni hanno riguardato gli artt. 13, 15, 16 e 17 del GDPR; in Francia, invece, gli artt. da 14 a 17 del GDPR; infine, quelle dell’Irlanda (individuate, in via potenziale, in un’ottica solo futura) riguardano gli artt. 5, da 12 a 22 e 34 del GDPR. ↑
9. Art. 85 paragrafi 1) e 2) GDPR: “Il diritto degli Stati membri concilia la protezione dei dati personali ai sensi del presente regolamento con il diritto alla libertà d’espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria. Ai fini del trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, gli Stati membri prevedono esenzioni o deroghe rispetto ai capi II (principi), III (diritti dell’interessato), IV (titolare del trattamento e responsabile del trattamento), V (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali), VI (autorità di controllo indipendenti), VII (cooperazione e coerenza) e IX (specifiche situazioni di trattamento dei dati) qualora siano necessarie per conciliare il diritto alla protezione dei dati personali e la libertà d’espressione e di informazione”. ↑
10. Deroga che, ad avviso dello scrivente, può rivestire maggiore interesse o curiosità nel lettore: in Francia, l’art. 19 paragrafo 3) della LIL prevede che la segretezza non possa essere invocata nel caso di un’indagine svolta dalla CNIL, fatta eccezione se essa sia invece volta a proteggere le fonti giornalistiche. ↑
11. Per quanto riguarda specificatamente l’Italia, si segnala un intervento normativo, effettuato all’interno del novellato Codice Privacy, e consistito nella revisione o inserimento di una serie di specifiche disposizioni normative (artt. 2 quater, e da 136 a 139); per altro verso, il Garante Privacy nazionale ha emanato, in data 29.11.2018 (n. 491), delle apposite “Regole deontologiche relative al trattamento dei dati personali nell’esercizio dell’attività giornalistica”, in sostituzione del precedente e specifico Codice di deontologia. ↑
12. A tal riguardo, il Garante Privacy nazionale ha emanato, in data 19.12.2018 (n. 513, 514 e 515), le “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale” e le “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica” e, infine, le “Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica”. ↑